UNE VULNÉRABILITÉ DANGEREUSE DÉCOUVERTE DANS LA RECHERCHE BING DE MICROSOFT
Une vulnérabilité dangereuse a été détectée dans le moteur de recherche Bing de Microsoft plus tôt cette année, permettant aux utilisateurs de modifier les résultats de recherche et d’accéder aux informations privées d’autres utilisateurs Bing provenant de Teams, Outlook et Office 365. Les chercheurs en sécurité de Wiz ont découvert une mauvaise configuration dans Azure, la plateforme de cloud computing de Microsoft, qui a compromis Bing, permettant à tout utilisateur Azure d’accéder aux applications sans autorisation.
Le problème a été détecté dans le service de gestion d’identité et d’accès Azure Active Directory (AAD). Les applications utilisant les autorisations multi-locataires de la plateforme sont accessibles par tout utilisateur Azure, ce qui oblige les développeurs à valider quels utilisateurs peuvent accéder à leurs applications. Cette responsabilité n’est pas toujours claire, ce qui rend les mauvaises configurations fréquentes – Wiz affirme que 25 pour cent de toutes les applications multi-locataires qu’il a analysées manquaient d’une validation appropriée.
Une enquête sur la section “Travail” de Bing a également révélé que l’exploit pourrait être utilisé pour accéder aux données Office 365 d’autres utilisateurs, exposant les e-mails Outlook, les calendriers, les messages Teams, les documents SharePoint et les fichiers OneDrive. Wiz a démontré qu’il a réussi à utiliser la vulnérabilité pour lire les e-mails de la boîte de réception d’une victime simulée. Plus de 1000 applications et sites Web dans le cloud de Microsoft ont été découverts avec des exploits de mauvaise configuration similaires, dont Mag News, Contact Center, PoliCheck, Power Automate Blog et Cosmos.
Le problème a été rapporté au Security Response Center de Microsoft le 31 janvier. Microsoft a résolu le problème le 2 février. Wiz a signalé ultérieurement les autres applications vulnérables le 25 février et a affirmé que Microsoft avait confirmé que tous les problèmes signalés avaient été résolus le 20 mars. Microsoft a également déclaré que la société avait apporté des changements supplémentaires pour réduire le risque de mauvaises configurations futures.
Wiz a déclaré qu’il n’y avait pas de preuve que la vulnérabilité avait été exploitée avant qu’elle ne soit corrigée. Cependant, les journaux Azure Active Directory ne fourniront pas nécessairement de détails sur l’activité précédente, et Wiz affirme que le problème pourrait avoir été exploitable depuis des années.
En octobre de l’année dernière, une extrémité Microsoft Azure de configuration également mal configurée a entraîné une violation de données BlueBleed qui a exposé les données de 150 000 sociétés dans 123 pays. La dernière vulnérabilité dans le réseau cloud de Microsoft est également divulguée rétroactivement la même semaine où l’entreprise tente de vendre sa nouvelle solution de cybersécurité Microsoft Security Copilot aux entreprises.
Wiz recommande aux organisations dotées d’applications Azure Active Directory de vérifier leurs journaux d’application pour tout accès suspect qui indiquerait une violation de sécurité.